Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/VB.aga.168
Entdeckt am:21/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:47.104 Bytes
MD5 Prüfsumme:79d5ea6fa8208fd76edfc9b99df1c280
VDF Version:7.11.10.61 - Dienstag, 21. Juni 2011
IVDF Version:7.11.10.61 - Dienstag, 21. Juni 2011

 Allgemein Aliases:
   •  Kaspersky: Backdoor.Win32.VB.nmc
   •  Sophos: Troj/VBAgent-G
   •  Bitdefender: Trojan.VB.Agent.JD
   •  GData: Trojan.VB.Agent.JD


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
      •  CVE-2007-1204
      •  MS07-019

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\fv3m.exe



Eine Datei wird überschreiben.
%SYSDIR%\drivers\etc\hosts



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %TEMPDIR%\mdinstall.inf



Es werden folgende Dateien erstellt:

%TEMPDIR%\mdinstall.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\MouseDriver.bat
%TEMPDIR%\c4ib5fma.bat



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • net.exe stop "Security Center"


– Dateiname:
   • %TEMPDIR%\fv3m.exe -d67746A804C8B11CEF203745371351E1B9D084232D9BBAD64D7BB166011C729413549C7DAE39F451B6F1BB7187B458CA4AB6804ECC863401CFFC6037F255A61133178EA4539310CE0C180CC8B1CE7060C291ECB87BB0A999963D188E07D899F19ACFBDFCD2739DC6C884ED285FC3F91C406BBC2F129724


– Dateiname:
   • "%SYSDIR%\grpconv.exe" -o


– Dateiname:
   • sc config wscsvc start= DISABLED


– Dateiname:
   • net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"


– Dateiname:
   • sc config SharedAccess start= DISABLED


– Dateiname:
   • net1 stop "Security Center"


– Dateiname:
   • %TEMPDIR%\fv3m.exe


– Dateiname:
   • net1 stop "Windows Firewall/Internet Connection Sharing (ICS)"


– Dateiname:
   • Rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %TEMPDIR%\mdinstall.inf


– Dateiname:
   • cmd /c %TEMPDIR%\c4ib5fma.bat

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "5uadx90"="%TEMPDIR%\fv3m.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "GrpConv"=""



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\GrpConv]
   Neuer Wert:
   • "Log"="Uninit Application."

– [HKLM\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\grpconv.exe %1"

– [HKLM\SOFTWARE\Classes\MSProgramGroup]
   Neuer Wert:
   • "@"="Microsoft Program Group"

– [HKLM\SOFTWARE\Classes\.grp]
   Neuer Wert:
   • "@"="MSProgramGroup"

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriff auf folgende Domain wird auf ein anderes Ziel umgeleitet:
   • 127.0.0.1 localhost


 Hintertür Kontaktiert Server:
Den folgenden:
   • http://w.nucleardiscover.com:888/**********?c=%Zeichenfolge%&v=%Nummer%&t=%Zeichenfolge%


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • fv3m.exe5uadx90
   • fv3m.exe5uadx90dmode

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 14. Juli 2011
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 14. Juli 2011

zurück . . . .